2009
http://hdl.handle.net/10016/6136
ndice
1- Introduccin
2- Objetivo
3- Qu es la auditora informtica?
personal.
a. Legislacin Vigente
c. Poltica de seguridad
16- Acrnimos
1. Introduccin
Como becario en todas ellas fui instruido en como realizar dichos procesos de
seguimiento y control desde el primer da, y en todos ellos ms tarde, tambin
fui instruido de cmo deba falsearlos, saltrmelos o no aplicarlos en
determinadas ocasiones.
En este proyecto parto de la base de que no estoy inventando nada nuevo, solo
haciendo hincapi en la situacin actual de las empresas que conozco directa o
indirectamente sin incidir en su tamao o experiencia como organizacin.
Muchas empresas de seguridad se fundamentan en que no hay nada seguro al
100% pero que si no prestamos atencin a ello ni siquiera damos sensacin
de seguridad a los futuros clientes o posibles atacantes del gnero que sean,
es decir, ya no partimos de la base de que siempre existen agujeros si no de
que una empresa puede aparentar ser ms o menos sensible al ataque por
parte de gente malintencionada en base a la imagen que da al exterior por lo
que ser ms o menos propensa a ataques por ello, ah es donde yo quiero
reflejar en mi trabajo que muchas empresas hoy en da, partieron de unas
buenas bases e ideas de cara a la organizacin segura y controlada de sus
sistemas de informacin y acabaron derivando en agilizar el proceso lo cual
influye negativamente en la seguridad y rendimiento de la empresa e incluso
vulnerndose derechos sobre la proteccin de datos sin intencin de ello, todo
ello se incrementa en el tiempo hasta la llegada de una auditora o la intrusin
de una persona ajena a la empresa que produce daos en sta.
El libro que tiene en sus manos muestra las bases de la auditora informtica,
haciendo una importante referencia a la ley de proteccin de datos vigente en
el territorio espaol, partiremos desde su concepto, sus productos, sus tipos,
sus aplicaciones e incluso llegaremos a ver como abordarla, como s que todo
esto es poco para un comit de direccin incluyo las bases de la proteccin de
datos en Espaa a da de hoy, y la demostracin a un nivel muy bsico de un
programa que puede ayudar a la implantacin de las medidas aconsejadas por
una auditora, todo siempre con fines constructivos para la mejora de procesos
desde el rendimiento hasta la imagen final de cara al cliente.
Cabe destacar que en la realizacin del libro he partido del REAL DECRETO
1720/2007 del 21 de diciembre por el que se aprueba el Reglamento de
desarrollo de la ley Orgnica 15/1999, del 13 de septiembre, de proteccin de
datos de carcter personal, es importante destacar que el RD desarroll esta
ley con una nueva manera de tomar en cuenta el tratamiento de los ficheros en
los que se almacenan datos y las normas sobre cmo tratarlos segn su
importancia.
1- Qu es la auditora informtica?
Definicin del amplio concepto de la auditora informtica, objetivos,
aplicaciones en las empresas actuales, posibilidades de desarrollo.
a. Legislacin Vigente
Puntualizo haciendo referencia a la legislacin vigente en referencia
al tema de la proteccin de datos, ya que a continuacin hablar en
ms profundidad de los cdigos tipo.
En este apartado defino una serie de ejemplos donde han de existir una
serie de procedimientos para realizar las cosas bien, aunque la
experiencia me ha demostrado que en algunas empresas no se
mantiene en el tiempo esta atencin, lo que conlleva el declive de la
calidad de procedimientos, efectividad y seguridad de stos.
2. Objetivo
3. Qu es la auditora informtica?
Eficiencia
Eficacia
Rentabilidad
Seguridad
Aseguramiento de la calidad.
Gobierno corporativo
Administracin del Ciclo de vida de los sistemas
Servicios de Entrega y Soporte
Proteccin y Seguridad
Planes de continuidad y Recuperacin de desastres.
Observacin
Realizacin de cuestionarios
Entrevistas a auditados y no auditados
Muestreo estadstico
Flujogramas
Listas de comprobacin de realizacin de requisitos
Mapas conceptuales
Ventajas
Desventajas
Una auditora nos proporciona una informacin que debemos poner en manos
de las personas adecuadas, es decir, al igual que la auditora nos informa de
las cosas que se estn realizando bien en una empresa, tambin nos informa
de las que se estn haciendo mal, debemos utilizar la informacin de una
manera adecuada para nuestro beneficio. Todo esto nos lleva a pensar en el
cdigo tico de los auditores; ISACA tiene en cuenta este importante rasgo del
perfil del auditor y define algunas normas que deberan seguirse:
- Planes y objetivos
- Una revisin de controles y planes de riesgo
- Un cumplimiento de procedimientos internos y en base a una
normativa externa
- Una administracin de la seguridad
- Un proceso en entorno seguro
- Un desarrollo en entorno seguro
- Una continuidad
Llegados a este punto es donde la empresa debe decidir como abordar las
recomendaciones definidas por el auditor para el bienestar de su empresa.
3. En todo caso, el acceso a los datos por el encargado del tratamiento estar
sometido a las medidas de seguridad contempladas en este reglamento.
5. En caso de que exista personal ajeno al responsable del fichero que tenga
acceso a los recursos deber estar sometido a las mismas condiciones y
obligaciones de seguridad que el personal propio.
Si est previsto realizar pruebas con datos reales, previamente deber haberse
realizado una copia de seguridad.
Esta designacin puede ser nica para todos los ficheros o tratamientos de
datos de carcter personal o diferenciado segn los sistemas de tratamiento
utilizados, circunstancia que deber hacerse constar claramente en el
documento de seguridad.
Aunque existirn tantas copias del informe Final como solicite el cliente, la
auditora no har copias de la citada carta de Introduccin.
Supuestos de aplicacin
reas de aplicacin
Las reas en que el mtodo CRMR puede ser aplicado se corresponden con
las sujetas a las condiciones de aplicacin sealadas en el punto anterior:
Gestin de Datos.
Control de Operaciones.
Control y utilizacin de recursos materiales y humanos.
Interfaces y relaciones con usuarios.
Planificacin.
Organizacin y administracin.
Objetivos:
Alcance:
Se determinan en este punto los requisitos necesarios para que esta simbiosis
de auditora y consultora pueda llevarse a cabo con xito.
Identificacin de la tarea.
Descripcin de la tarea.
Descripcin de la funcin de direccin cuando la tarea se realiza
incorrectamente.
Descripcin de ventajas, sugerencias y beneficios que puede originar un
cambio o modificacin de tarea
Test para la evaluacin de la prctica directiva en relacin con la tarea.
Posibilidades de agrupacin de tareas.
Ajustes en funcin de las peculiaridades de un departamento concreto.
Registro de resultados, conclusiones y Recomendaciones.
Es una auditora de Seguridad Informtica que tiene como misin revisar tanto
la seguridad fsica del Centro de Proceso de Datos en su sentido ms amplio,
como la seguridad lgica de datos, procesos y funciones informticas ms
importantes de aqul.
Ciclo de Seguridad
El equipo auditor debe conocer las razones por las cuales el cliente desea
realizar el Ciclo de Seguridad. Puede haber muchas causas: Reglas internas
del cliente, incrementos no previstos de costes, obligaciones legales, situacin
de ineficiencia global notoria, etc.
Con las razones por las cuales va a ser realizada la auditora (Fase 0), el
equipo auditor disea el proyecto de Ciclo de Seguridad en base a una
estrategia definida en funcin del volumen y complejidad del trabajo a realizar,
que constituye la Fase 1 del punto anterior.
Pesos tcnicos
Pesos polticos
Pesos finales
Del mismo modo, se concede a todos los segmentos el mismo valor total
que se desee, por ejemplo 20, con absoluta independencia del nmero
de Secciones que tenga cada Segmento. En este caso, se han definido
y pesado cinco Secciones del Segmento de Seguridad Fsica. Cabe
aclarar, solo se desarroll un solo Segmento a modo de ejemplo.
Deben realizarse varias entrevistas del mismo tema, al menos a dos o tres
niveles jerrquicos distintos. El mismo auditor puede, y en ocasiones es
conveniente, entrevistar a la misma persona sobre distintos temas. Las
entrevistas deben realizarse de acuerdo con el plan establecido, aunque se
pueden llegar a agregar algunas adicionales y sin planificacin.
1. Autorizaciones
2. Controles Automticos
3. Vigilancia
4. Registros
80%
70%
70%
30%
Autorizaciones 80%
Vigilancia 70%
Registros 30%
Seg. 8 = 59,85%
*
El cdigo deontolgico es un documento que recoge un conjunto ms o menos amplio de criterios,
normas y valores que formulan y asumen quienes llevan a cabo una actividad profesional. Los cdigos
deontolgicos se ocupan de los aspectos ms sustanciales y fundamentales del ejercicio de la profesin
que regulan. Estos cdigos cada vez son ms frecuentes en otras muchas actividades. Sin embargo, no
siempre se cumplen, y aunque s se respeten, quedan notables lagunas en cuanto a quin est encargado
de hacerlos cumplir, as como las sanciones para quienes los vulneren.
A. Legislacin Vigente
Las actividades objeto de regulacin por los cdigos pueden ser de muy
diversa naturaleza, dado que el fin perseguido en su elaboracin se centra en
predefinir pautas o estndares de actuacin generales a tener en cuenta por
los sujetos pertenecientes a un determinado sector.
La LOPD no regula el contenido que tienen que tener estos cdigos. Ante esta
laguna la AEPD recogi en su pgina web los aspectos de fondo del contenido
de estos cdigos. Se relaciona a continuacin el contenido mnimo que, a
tenor de lo expresado por la AEPD, deberan recoger:
Clusulas tipo para informar a los afectados del tratamiento, cuando los
datos no sean obtenidos de los mismos.
Al margen del contenido mnimo indicado, los cdigos tipo podrn incluir
cualquier otro compromiso adicional que asuman los adheridos para un mejor
cumplimiento de la legislacin vigente en materia de proteccin de datos.
Adems podrn contener cualquier otro compromiso que puedan establecer las
entidades promotoras y, en particular, sobre:
Uno de los aspectos que debe tener en cuenta todo responsable de ficheros
son las ventajas de distinta ndole que la adopcin de este tipo de cdigos
puede conllevar, como garanta frente a los titulares de los datos de carcter
personal y a la propia AEPD, as como, de forma interna, a la organizacin del
responsable del tratamiento.
En primer lugar, para los titulares de datos personales -ya consten en los
ficheros del responsable del tratamiento o se trate de sujetos que,
potencialmente, pueden estar interesados en la actividad desarrollada por el
mismo-, la adopcin de estos cdigos suponen unas obligaciones impuestas
por la normativa un cdigo tipo en materia de proteccin de datos podr ser
interpretada como reguladora de esta materia y el modo ms adecuado de
llevarlas a la prctica en su sector concreto, demostrando el respeto por el
derecho de los particulares a preservar sus datos personales.
Una vez publicado un cdigo tipo, las entidades promotoras o los rganos,
personas o entidades que al efecto se designen en el mismo tendrn que
cumplir las siguientes obligaciones establecidas en el RLOPD:
Del mismo modo, se aplica a los ficheros automatizados que contengan datos
de carcter personal y de los que sean responsables las empresas asociadas a
ASEDIE, cuya finalidad sea la prestacin de servicios de informacin sobre la
solvencia patrimonial y crdito.
Frente a estos, existen los llamados ficheros lgicos, que podemos definir
como ficheros o conjunto de ficheros fsicos que contienen el mismo tipo de
datos y son tratados para la misma finalidad.
En relacin con este tema, el RLOPD -artculo 56- viene a aclarar que:
la notificacin de un fichero de datos de carcter personal es independiente
del sistema de tratamiento empleado en su organizacin y del soporte o
soportes empleados para el tratamiento de los datos y que cuando los
datos de carcter personal objeto de tratamiento estn almacenados en
diferentes soportes, automatizados y no automatizados, o exista una copia
en soporte no automatizado de un fichero automatizado, slo ser preciso
una sola notificacin, referida a dicho fichero.
Ej. si se crea un fichero temporal para organizar las vacaciones del personal a
partir del fichero de recursos humanos, tendr que estar inscrito el fichero de
recursos humanos. Respecto del fichero de vacaciones tendrn que adoptarse
las medidas de seguridad correspondientes. Un fichero creado para realizar
tratamientos de datos peridicos, SI que tendr que inscribirse.
En relacin con estos ficheros hay que tener en cuenta las disposiciones
sectoriales establecidas por la LOPD. Con base en las mismas, podemos
afirmar que la creacin de los ficheros de las Administraciones Pblicas slo
podr hacerse por medio de disposicin general publicada en el Boletn Oficial
del Estado o diario oficial correspondiente -artculo 22 LOPD-. Dicha
disposicin deber indicar:
Debemos plantearnos que no siempre los datos son recabados del propio
titular o interesado, de manera que analizaremos a continuacin las vas ms
habituales a travs de las cuales se obtienen datos personales para insertarlos
en un fichero:
Cuando los datos son recabados de sus titulares, habr que facilitar
directamente a los mismos la informacin detallada anteriormente.
De terceros
Cuando los datos hayan sido facilitados por persona distinta al titular de los
mismos, el responsable del fichero dispone de un plazo de tres meses desde el
momento del registro de los datos para facilitarle la informacin que le permita
consentir el tratamiento de sus datos de forma libre y consciente. Como
consecuencia, tendr que informarle del contenido del tratamiento, la
procedencia de los datos, la existencia de un fichero o tratamiento, la finalidad
para la que se han recabado los datos, los destinatarios de la informacin, la
posibilidad de ejercitar los derechos de acceso, rectificacin y oposicin, as
como de la identidad y direccin del responsable del tratamiento o su
representante. La propia LOPD estable excepciones a esta obligacin,
afirmando que no ser de aplicacin cuando:
**
En el mismo sentido se pronunci la AEPD en una resolucin de 8 de octubre de 2004: El artculo 5.5.
tambin excepta de la obligacin de informar cuando expresamente una Ley lo Prevea. De la
interpretacin literal del artculo resultara que la obligacin de informar debe estar expresamente
exceptuada en una Ley para que se cumplan las condiciones previstas en este supuesto. Sin embargo la
Directiva 95/46/CE, que ha sido transpuesta por la Ley 15/1999, en su artculo 11.2 especifica que no
existe el deber de informar en particular para el tratamiento con fines estadsticos o de investigacin
histrica o cientfica, cuando la informacin al interesado resulte imposible o exija esfuerzos
desproporcionados o el registro o la comunicacin a un tercero estn expresamente previstos por ley, por
lo que ha de interpretarse este supuesto de exclusin en los trminos previstos en la Directiva, quedando
excluida la obligacin de informar cuando la cesin est expresamente prevista en una Ley.
El censo promocional.
Las guas de telfonos.
Las listas de colegios profesionales que contengan nicamente los datos
de nombre, ttulo, profesin, actividad, grado acadmico, direccin
profesional e indicacin de su pertenencia al grupo.
El RLOPD, en su artculo 7 determina el alcance de las siguientes
expresiones:
- Direccin profesional: podr incluir los datos del domicilio postal
completo, nmero telefnico, nmero de fax y direccin
electrnica.
- Datos de pertenencia al grupo: considera como tales los de
nmero de colegiado, fecha de incorporacin y situacin de
ejercicio profesional.
Los diarios y boletines oficiales.
Los medios de comunicacin social.
Vid. AEPD, Informe Jurdico2002-0000 Procedimiento para la exencin del deber de informar, https://
212.170.242.196/portalweb/canaldocumentacion/informes_juridicos/deber_informacion/common/pdfs/
2002-0000_Procedimiento-para-la-exenci-oo-n-del-deber-de-informar.pdf
Vid. AEPD, I Sesin Anual Abierta de la AEPD El nuevo reglamento de desarrollo de la ley orgnica de
proteccin de datos: problemtica, interpretacin y aplicacin, Madrid, 22 de abril de 2008, https://
www.agpd.es/portalweb/jornadas/1_sesion_abierta/common/faqs_bloque_1.pdf.
Las fuentes de acceso pblico que se editen en forma de libro o algn otro
soporte fsico, perdern el carcter de fuente accesible con la nueva edicin
que se publique y, en el caso de que se obtenga telemticamente una copia de
la lista en formato electrnico, en el plazo de un ao, contado desde el
momento de su obtencin.
Una vez tratada la informacin que debemos facilitar al titular de los datos en
los supuestos ms habituales de recogida de los mismos, podemos avanzar un
poco ms profundizando de forma muy somera pero clarificadora los extremos
que, por resultar menos precisos o haber sido expresados de una forma muy
genrica por el legislador, pueden dar lugar a dudas o interpretaciones
errneas.
Para el uso de los datos facilitados inicialmente con todas estas finalidades, lo
que permitira al responsable del fichero sacar un mayor aprovechamiento del
mismo, traducido normalmente en un mayor beneficio econmico, resulta
imprescindible haber informado correctamente. Es a la hora de informar del uso
de los datos para todas estas finalidades cuando el responsable del fichero
puede encontrarse con problemas, principalmente, que el interesado se niegue
a facilitar sus datos.
***
Vid. AEPD, Informe Jurdico 0111/2005 Prueba en relacin con el cumplimiento del deber de
informacin, https://www.agpd.es/portalweb/canaldocumentacion/informes_juridicos/deber_informacion/index-ides-idphp.php.
Supuestos especiales
Art. 6.3 de la LOPD: El consentimiento a que se refiere el artculo podr ser revocado cuando exista
causa justificada para ello y no se le atribuyan efectos retroactivos
Art. 11.4 de la LOPD: El consentimiento para la comunicacin de los datos de carcter personal tiene
tambin un carcter revocable.
Vid. AEPD, Informe Jurdico 93/2008 Formas de obtener el consentimiento mediante web:
Consentimientos tcitos, https://www.agpd.es/portalweb/canaldocumentacion/informes_juridicos/
consentimiento/index-ides-idphp.php.
****
Vid. AEPD, I Sesin Anual Abierta de la AEPD El nuevo reglamento de desarrollo de la ley orgnica de
proteccin de datos: problemtica, interpretacin y aplicacin, Madrid, 22 de abril de 2008, https://
www.agpd.es/portalweb/jornadas/1_sesion_abierta/index-ides-idphp.php.
Vid. AEPD, Informe Jurdico 0078/2005 Tratamiento de datos para fines incompatibles, https://
www.agpd.es/portalweb/canaldocumentacion/informes_juridicos/consentimiento/index-ides-idphp.php.
Los datos de carcter personal objeto de tratamiento tienen que ser exactos y
puestos al da de forma que respondan con veracidad a la situacin actual de
su titular, de manera que si los datos registrados resultan inexactos, en todo o
en parte, o incompletos, el responsable del fichero o tratamiento se ver
obligado a cancelarlos y sustituirlos de oficio por los correspondientes datos
rectificados o completados.
Los datos de carcter personal tienen que ser almacenados de forma que
permitan el ejercicio del derecho de acceso, salvo que sean legalmente
cancelados. Este derecho ser desarrollado en el apartado 5.4.1.
La Jurisprudencia ha tenido ocasin de analizar el alcance de este principio en las siguientes sentencias:
Sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, de 6 de julio de 2001;
Sentencia de la Seccin Novena de la Sala de lo Contencioso Administrativo del Tribunal Superior de
Justicia de Madrid, de 5 de noviembre de 1998; Sentencia de la Seccin Octava de la Sala de lo
Contencioso Administrativo del Tribunal Superior de Justicia de Madrid, de 18 de octubre de 2000;
Sentencia de la Seccin Octava de la Sala de lo Contencioso Administrativo del Tribunal Superior de
Justicia de Madrid, de 26 de mayo de 1999; Sentencia de la Sala de lo Contencioso Administrativo de la
Audiencia Nacional, de 19 de enero de 2001; Sentencia de la Seccin Octava de la Sala de lo Contencioso
Administrativo del Tribunal Superior de Justicia de Madrid, de 9 de febrero de 2000; Sentencia de la Sala
de lo Contencioso Administrativo de la Audiencia Nacional, de 9 de marzo de 2001.
A. Nivel bsico.
1.a. Personal.
Definir las funciones y obligaciones de los diferentes usuarios o
de los perfiles de usuarios.
Definir las funciones de control y las autorizaciones delegadas por
el responsable.
Difundir entre el personal, de las normas que les afecten y las
consecuencias por su incumplimiento.
1.b. Incidencias.
3.b. Almacenamiento.
B. Nivel medio.
1.a. Personal.
1.b. Incidencias.
1.e. Auditora.
3.b. Almacenamiento.
C. Nivel alto.
1.a. Personal.
1.b. Incidencias.
1.e. Auditora.
3.c. Almacenamiento.
El responsable de
seguridad es el encargado
de coordinar y controlar las
medidas del documento.
D efinicin de las
funciones de control y las
autorizaciones delegadas
por el responsable.
Autorizacin del
responsable del fichero
para la recuperacin de
datos.
*****
Vid. AEPD Gua de Seguridad, https://www.agpd.es/portalweb/canalresponsable/guia_documento/
common/pdfs/guia_seguridad.pdf.
Nivel Alto
Nivel Medio
Nivel Bsico
Control de R elacin actualizada de SOLO FICHEROS SOLO FICHEROS
acceso usuarios y accesos AUTOMATIZADOS AUTOMATIZADOS
autorizados.
C ontrol de acceso R egistro de accesos:
C ontrol de accesos fsico a los locales usuario, hora, fichero, tipo
permitidos a cada usuario donde se encuentren de acceso, autorizado o
segn las funciones ubicados los sistemas denegado.
asignadas. de informacin.
R evisin mensual del
Mecanismos que registro por el responsable
eviten el acceso a datos o de seguridad.
recursos con derechos
distintos de los C onservacin 2 aos.
autorizados.
N o es necesario este
C oncesin de permisos registro si el responsable
de acceso slo por del fichero es una persona
personal autorizado. fsica y es el nico usuario.
Identificacin accesos
para documentos
accesibles por mltiples
usuarios.
Identificacin de SOLO FICHEROS SOLO FICHEROS
usuarios AUTOMATIZADOS AUTOMATIZADOS
Lmite de intentos
Identificacin y
reiterados de acceso no
autenticacin
autorizado.
personalizada.
Procedimiento asignacin
y distribucin de
contraseas.
Almacenamiento
ininteligible de
contraseas.
Nivel Alto
Nivel Medio
Nivel Bsico
Copias de SOLO FICHEROS SOLO FICHEROS
respaldo AUTOMATIZADOS AUTOMATIZADOS
V erificacin semestral de
los procedimientos.
R econstruccin de los
datos a partir de la ltima
copia.
Grabacin manual en su
caso, si existe
documentacin que lo
permita.
Copia de seguridad y
aplicacin del nivel de
seguridad correspondiente.
Criterios de SOLO FICHEROS NO
AUTOMATIZADOS
archivo
El archivo de los
documentos debe
realizarse segn criterios
que faciliten su consulta y
localizacin para
garantizar el ejercicio
de los derechos ARCO.
Almacenamiento SOLO FICHEROS NO SOLO FICHEROS NO
AUTOMATIZADOS AUTOMATIZADOS
Nivel Alto
Nivel Medio
Nivel Bsico
Auditora Al menos cada dos
aos, interna o externa.
V erificacin y control de
la adecuacin de las
medidas.
Informe de deteccin de
deficiencias y propuestas
correctoras.
de seguridad y
conclusiones al
responsable del fichero.
T ransmisin de datos a
travs de redes
electrnicas cifrada.
acceso o manipulacin.
A. A los ficheros de los que sean responsables los operadores que presten
servicios de comunicaciones electrnicas disponibles al pblico o exploten
redes pblicas de comunicaciones electrnicas respecto a los datos de trfico y
a los datos de localizacin, se aplicarn, adems de las medidas de seguridad
de nivel bsico y medio, la medida de seguridad de nivel alto contenida en el
artculo 103 de este reglamento.
3. Los mecanismos que permiten el registro de accesos estarn bajo el control directo del responsable de seguridad competente sin
que deban permitir la desactivacin ni la manipulacin de los mismos.
4. El perodo mnimo de conservacin de los datos registrados ser de dos aos.
5. El responsable de seguridad se encargar de revisar al menos una vez al mes la informacin de control registrada y elaborar
un informe de las revisiones realizadas y los problemas detectados.
6. No ser necesario el registro de accesos definido en este artculo en caso de que concurran las siguientes circunstancias:
a) Que el responsable del fichero o del tratamiento sea una persona fsica.
b) Que el responsable del fichero o del tratamiento garantice que nicamente l tiene acceso y trata los datos personales.
La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deber hacerse constar expresamente en el
documento de seguridad.
Vid. AEPD, Informe Jurdico 0156/2008 Medidas de seguridad en los ficheros de nminas y dems especialidades,
https://www.agpd.es/portalweb/canaldocumentacion/informes_juridicos/common/pdfs/2008-0156_Medidas-de-seguridad-en-los-
ficheros-de-n-oo-minas-y-dem-aa-s-especialidades.pdf.
Productos de software.
Como punto de partida, debemos saber que la LOPD -artculo 3.i)- define la
cesin o comunicacin de datos como toda revelacin de datos realizada a
una persona distinta del interesado, regulndola en su artculo 11. Como
principio rector, los datos de carcter personal slo podrn cederse si se
cumplen dos requisitos:
Vid. AEPD, Informe Jurdico 325/2004 Comunicacin de datos entre empresas de un mismo grupo,
https://www.agpd.es/portalweb/canaldocumentacion/informes_juridicos/cesion_datos/common/pdfs/2004-0325_Comunicaci-oo-n-
de-datos-entre-empresas-de-un-mismo-grupo.pdf.
******
Vid. AEPD, Informe Jurdico 0309/2008 Los ensobrados y recepcin de direcciones de personas fsicas para efectuar
envos configura a la empresa como encargado de tratamiento,
https://212.170.242.196/portalweb/canaldocumentacion/informes_juridicos/conceptos/common/pdfs/2008-0309_Los-ensobrados-
yrecepci-oo-n-de-direcciones-de-personas-f-ii-sicas-para-efectuar-env-ii-os-configura-a-la-empresa-comoencargado-del-
tratamiento.pdf.
Vid. AEPD, I Sesin Anual Abierta de la AEPD El nuevo reglamento de desarrollo de la ley orgnica de
proteccin de datos: problemtica, interpretacin y aplicacin, Madrid, 22 de abril de 2008, https://
www.agpd.es/portalweb/jornadas/1_sesion_abierta/common/faqs_bloque_1.pdf.
Limpieza.
Seguridad.
Mantenimiento o reparacin de instalaciones (que no se refiera al propio
sistema de informacin).
Una vez cumplido el perodo al que se refieren los prrafos anteriores, los
datos slo podrn ser conservados previa disociacin de los mismos, sin
perjuicio de la obligacin de bloqueo prevista en la LOPD y el RLOPD. En este
sentido, debemos saber que un procedimiento de disociacin es todo
tratamiento de datos personales que permita la obtencin de datos disociados.
Hasta ahora todo lo escrito no dejan de ser argumentos a como se hace una
auditora, ventajas e inconvenientes de sta, los productos obtenidos, pero una
vez analizado todo lo anterior llegamos al momento de tomar medidas es
decir, si algo se sta haciendo mal, debera de empezar a hacerse bien porque
sabemos que puede mejorarse. Pero realizar cambios en una empresa para
adaptarse a un nuevo modelo o para mejorar el rendimiento de una instalacin
no es todo lo sencillo que la direccin de la empresa piensa. Veamos algunos
ejemplos:
Una auditora informtica por norma siempre saca a la luz las debilidades de la
empresa siendo entonces los dirigentes de la empresa los que deben valorar
las prioridades para hacerse cargo de cubrir esas debilidades.
ITIL representa mucho ms que una serie de libros tiles sobre Gestin de
Servicios TI. Un marco de mejores prcticas en la Gestin de Servicios TI
representa un conjunto completo de organizaciones, herramientas, servicios de
educacin y consultora, marcos de trabajo relacionados, y publicaciones. Las
disciplinas de Gestin de Servicios que se encuentran en el corazn de ITIL
encajan en dos grupos diferenciados:
Soporte de Servicio
Gestin de Incidentes
Gestin de Incidentes registra, clasifica, supervisa y cierra todos
los incidentes de forma controlada y homognea. Esto permite
restaurar los niveles de servicio con la mayor rapidez posible y
ayuda a reducir el nmero de incidentes nuevas. Los objetivos
principales de la Gestin de Incidentes son:
Detectar cualquiera alteracin en los servicios TI.
Registrar y clasificar estas alteraciones.
Asignar el personal encargado de restaurar el servicio
segn se define en el SLA correspondiente.
Gestin de Problemas
La identificacin, investigacin y clasificacin de problemas es
una funcin fundamental en el mbito de Gestin de Servicios
Informticos. Reduce de forma proactiva los volmenes de
incidentes y mejora continuamente la infraestructura informtica
subyacente.
Las funciones principales de la Gestin de Problemas son:
Investigar las causas subyacentes a toda alteracin, real o
potencial, del servicio TI.
Determinar posibles soluciones a las mismas.
Proponer las peticiones de cambio necesarias para
restablecer la calidad del servicio.
Realizar Revisiones Post Implementacin para asegurar
que los cambios han surtido los efectos buscados sin crear
problemas de carcter secundario.
Gestin de Cambios
La funcin de Gestin de Cambios es asegurar que se emplee un
enfoque homogneo para la evaluacin e implantacin de todo
cambio a la infraestructura informtica de la manera ms eficiente,
siguiendo los procedimientos establecidos y asegurando la
calidad y continuidad del servicio. Permite evaluar el riesgo y el
impacto, as como los requisitos en lo que se refiere a recursos
asociados con los cambios propuestos. Todo esto supone las
siguientes ventajas:
Reduccin a medio/largo plazo de los costes asociados.
Mejora y consistencia de los servicios prestados.
Simplificacin de todos los procesos asociados al soporte
al servicio: Incidencias, Problemas, Cambios, Versiones,
etc.
Gestin de Versiones
La Gestin de Versiones es la encargada de disear, poner
a prueba e instalar en el entorno de produccin los cambios
establecidos, todo ello debe realizarse proporcionando un
marco sistemtico para implantaciones de hardware de
envergadura o crticas, implantaciones de software de
envergadura o conjuntos de cambios empaquetados. Tiene
en cuenta todos los aspectos tcnicos y no tcnicos de una
edicin, desde la poltica y planificacin de edicin iniciales
hasta el desarrollo, pruebas e implantacin controlados.
Todo ello nos lleva a:
Establecer una poltica de implementacin de
nuevas versiones de hardware y software.
Implementar las nuevas versiones de software y
hardware en el entorno de produccin tras su
verificacin en un entorno realista de pruebas.
Garantizar que el proceso de cambio cumpla las
especificaciones de la RFC correspondiente.
Provisin de Servicio
Gestin de Capacidad
El objetivo primordial de la Gestin de la Capacidad es poner a
disposicin de clientes, usuarios y el propio departamento TI los
recursos informticos necesarios para desempear de una
manera eficiente sus tareas y todo ello sin incurrir en costes
desproporcionados. Con este proceso se pretende alinear los
niveles de servicios informticos con las necesidades actuales y
futuras del negocio. Tiene que ver con el aprovechamiento de los
recursos informticos existentes as como con procurar que los
recursos nuevos estn disponibles de forma oportuna y eficiente.
Los principales beneficios derivados de una correcta Gestin
de la Capacidad son:
Gestin de Demanda
La Gestin de Disponibilidad procura optimizar y racionalizar el
uso de los recursos TI, es decir, que todos los sistemas y
servicios funcionen segn se requiera y que se mantenga la
disponibilidad de forma fiable y rentable. Con el suministro y la
provisin de informacin, las empresas tambin deben considerar
la gestin de seguridad para impedir el uso no autorizado de la
informacin.
Gestin de la seguridad
La Gestin de la Seguridad debe, por tanto, velar por que la informacin sea
correcta y completa, est siempre a disposicin del negocio y sea utilizada slo
por aquellos que tienen autorizacin para hacerlo.
Por qu no cualquiera?
Las ventajas principales que brinda la aplicacin de los principios de ITIL son:
Infraestructura informtica optimizada para cubrir las necesidades de negocios
existentes y previstas Coste total de propiedad (TCO por sus siglas en ingls)
permanentemente reducido, incluyendo el coste de servicio.
Mayor calidad de Servicio Informtico para aumentar la confianza en los
sistemas informticos y la prestacin de servicios.
CLARIDAD E IDONEIDAD
3. Son los trminos o conceptos que se utilizan claros y consistentes? Estn las
siglas documentadas?
COMPLETITUD
12. Se han considerado los temas de seguridad (security, safety) del sistema?
16. Se han definido criterios para asignar niveles de prioridad a los requisitos?
17. Hay requisitos que se contradicen total o parcialmente? existe el riesgo de que
ello ocurra (repeticin, mltiples referencias)?
SIS
19. Se han definido los supuestos y las restricciones del Sistema/SW/HW?
SW
HW
ESTNDARES
INTERFACES
22. Se han definido claramente todas las interfaces externas y sus requisitos?
SIS
23. Se han definido claramente todas las interfaces internas y sus requisitos?
SW
HW
27. La interfaz de usuario, est recogida por los requisitos? es demasiado explcita o
demasiado genrica?
MANTENIMIENTO
28. Se han definido los requisitos para el mantenimiento del Sistema? SIS
CLI
RENDIMIENTO
FIABILIDAD
PRUEBAS
35. Se han establecido criterios de validacin para todos los requisitos? son
idneos?.
TRAZABILIDAD
36. Todos los requisitos del nivel superior se trazan a requisitos de este nivel? SIS
Existen requisitos no trazados al nivel superior? Por qu? SW
HW
El rea de Calidad del Software permite a los proyectos medir la calidad de los
sistemas que se construyen y compararla con la calidad media de la empresa.
A partir de los datos obtenidos desde las herramientas utilizadas en el rea, se
obtienen dos informes: uno ejecutivo, cuya audiencia es el equipo de gestin
de la operacin, y uno detallado, destinado al equipo de desarrolladores.
La funcin principal del rea es velar porque el cdigo que se desarrolla tenga
una calidad mnima en funcin de una serie de reglas y buenas prcticas que
deben cumplirse. Esta comprobacin se realiza a travs de unas auditoras
que conocemos con el nombre de QA-SW internos. Estas auditoras
posibilitan:
Tanto para los QA-SW internos, como los QA-SW a cdigo desarrollado por
terceros se realizan las siguientes actividades:
C. Poltica de seguridad
Fases fundamentales
Son muchas las fuentes de datos que hay que considerar. Cada departamento
debe determinar qu tipo de datos recoge, crea o utiliza. El grupo
departamental debe proporcionar esta informacin al grupo de seguridad. Las
compaas no deben presuponer que el departamento de TI conoce todos los
datos utilizados por los dems departamentos o unidades de negocio.
Los almacenes de datos surgen como setas en las compaas. Por ejemplo,
ficheros de los usuarios, ficheros de los proveedores, del canal de partners,
registros desde el web site, registros de empleados, ficheros de I+D, ficheros
de suscripcin para newsletters corporativas, etc. En cualquier caso, las
compaas deben ser muy realistas en este aspecto, ya que todos los
departamentos y unidades de negocio se sienten como propietarios absolutos
de esos datos. Hay una barrera cultural al cambio. Existe una tendencia
observada en el tiempo a no cooperar totalmente con las iniciativas de mbito
global. La mejor herramienta para conseguir esa profundidad en el anlisis de
los datos puede que no sea enviar un formulario enorme a cada supervisor
para que sea completado, sino una aproximacin ms de concienciacin en la
que tanto supervisores clave como expertos tcnicos son encuestados sobre
cmo son manejados los datos.
Las tecnologas sobre las que tenemos que reflexionar en cada uno de los
aspectos necesarios se pueden clasificar perfectamente en:
El usuario puede solicitar un informe del estado actual de la red para una hora
determinada, y la aplicacin realizar los procesos pertinentes para la
obtencin de ese informe de manera automtica, adems, al integrarse con el
servidor de correo, permite al usuario concretar con ms personas la
realizacin del informe para organizar una reunin e incluso que estas
personas puedan solicitar nuevos diagnsticos actualizados para la reunin.
Para que sea eficaz, el proceso participativo deber estar guiado, de modo que
se identifiquen claramente los pasos a seguir y la funcin de cada uno de los
intervinientes. Aqu la labor del departamento de sistemas y de los jefes de
equipo de todos los proyectos es ms que importante ya que su experiencia
fijar el ritmo de la implantacin y la direccin a seguir en cada momento.
mbito de la aplicacin
- Jefes de proyecto.
- rea de gerencia de la empresa.
- Departamento de calidad de la propia empresa.
- Departamento de sistemas de la propia empresa.
- Departamento de seguridad de la empresa.
- Direccin tcnica de la empresa.
- rea de gobierno de la empresa.
Por qu usarlo?
Ideas y Ventajas.
Pues bien es un grave error sin saber que tipo de problema tenemos
decidamos comprar una medicina, es decir, un producto que se nos
ofrece por alguna otra razn.
Veamos un ejemplo:
Por ejemplo:
Claro esta que en la mayora de los mercados es muy difcil que los
productos tengan especificaciones tan tcnicas, sin embargo el poder
hacer una mejor eleccin del producto necesario parte de poder
identificar con precisin que tipo de problema de seguridad tenemos que
resolver, de la misma forma que poder encontrar a un vendedor que
tenga los conocimientos adecuados para poder identificar bien la
solucin de nuestro problema concreto.
Mas tarde trabaj durante ocho meses como becario de sistemas en una
consultora informtica de la que ms tarde sera trasladado a otro centro como
tcnico informtico y trabajando para la filial de una empresa internacional.
Durante esos ocho meses aprend mucho ms a fondo el funcionamiento de
una empresa en cuanto a la gestin de datos se refiere, aprend desde
configurar ordenadores en base a un estndar de la empresa hasta como todos
los das se realizaban copias de seguridad de cierta informacin,
semanalmente de otra, y finalmente una mensual de mayor tamao. Todo ello
me llev a ver las 2 caras de la moneda, es decir, puede resultar muy til
hacer cambiar a los usuarios su contrasea cada 3 meses, pero si luego la
ponan en un papel pegado al monitor, de que serva? Era importante realizar
las copias de seguridad, pero si no se comprobaban si los soportes seguan
funcionando correctamente despus de algunos aos para que las hacamos?
Intentar resumir mis experiencias en los siguientes puntos:
Poltica de seguridad
Aspectos organizativos para la seguridad
Clasificacin y control de activos
Seguridad del personal
Seguridad fsica y del entorno
Gestin de comunicaciones y operaciones
Control de accesos
Desarrollo y mantenimiento de sistemas
Gestin de continuidad del negocio
Conformidad legal
Todo esto nos llevar a conocer de una manera organizada nuestro avance
a travs de hitos, de manera que podremos diagnosticar nuestra situacin
en cada momento. No se trata de hacer continuas auditoras sobre la
empresa, sino de localizar que se tiene en ese momento y como esta
avanzando, as como dar a conocer lo que es, para que es y como lo
podemos mejorar.
Gestin de Servicios de TI
1. Prestacin de Servicios
2. Soporte al Servicio
4- GESTIONADO CUANTITATIVAMENTE:
Anlisis causal
Innovacin y despliegue organizativo.
Mejora continua.
Esta dinmica sugerida por el modelo del NIST, esta soportada por un
programa de mtricas de cuatro componentes interdependientes:
- Soporte de la gerencia.
- Polticas y prcticas.
- Mtricas cuantificables de ejecucin y logro.
- Anlisis de mtricas.
Afectado o interesado. Persona fsica titular de los datos que sean objeto del
tratamiento.
Ejemplo. En esta definicin entraramos todos los individuos de los que se
pueden obtener datos. Debemos tener claro, que el titular de los datos no es
quien los posee en un fichero, sino el propio individuo al que corresponden
esos datos.
Autenticacin. Servicio que permite poder estar seguro de que el usuario que
accede al sistema es realmente ese usuario. Procedimiento de comprobacin
de la identidad de un usuario.
Ejemplo. Cualquier mecanismo o programa que permita identificar la
contrasea de acceso, la huella dactilar, la firma electrnica, etc.
16. Acrnimos
17. Bibliografa
Libros utilizados:
J.M. Alonso, J.L.Garca, Antonio Soto, David Suz, Jos Helguero, M Estrella
Blanco, Miguel Vega y Hctor Snchez. 2009.
La proteccin de datos personales. Soluciones en Entornos Microsoft.
Espaa. Microsoft Ibrica S.R.L.
Real Decreto:
Artculos:
Apuntes:
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_
gestion_TI/que_es_ITIL/que_es_ITIL.php
Agradecimientos: